病毒名称(中文):
奇迹世界盗号者103936
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
103936
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗号木马程序.木马程序运行会后会关闭Sungame.exe,也就是奇迹世界的进程,然后从自身释放dll文件,注explorer.exe进程,然后重新启动Sungame.exe进程,截获用户输入,盗取奇迹世界帐号.
1.病毒运行后会产生以下文件
%systemroot%\system32\ojuaiouykuyf.dll(该病毒名是随机生成的)
%systemroot%\system32\atmpvcno32.dll(该文件是上面文件的拷贝)
2.修改如下注册表项
HKCR\CLSID\{383D0D27-789F-4543-9760-D4E199623476}\InProcServer32\(Default)"C:\WINDOWS\system32\ojuaiouykuyf.dll"
HKCR\CLSID\{383D0D27-789F-4543-9760-D4E199623476}\InProcServer32\ThreadingModel"Apartment"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{383D0D27-789F-4543-9760-D4E199623476}
3.木马将截获到的信息发送到http://xxx.Hu…**_Huai/GetMb.asp?action=**getupos&mac=**getyxlogin&u=**